Вирусът: W32/Bagle.AM
16 Август 2004, Понеделник
Автор: Burgas Info
Центърът за техническа поддръжка на Panda Software съобщи за появяването на нов червей W32/Bagle.AM, наричан още: W32/Bagle.aq!zip, WORM_BAGLE.AC, I-Worm.Bagle.al, W32/Bagle.aq@MM. Той отваря TCP порт, позволявайки установяването на отдалечен достъп до заразения компютър и прекратява активни процеси за обновяване на антивирусни програми в системи с инсталиран Windows XP/2000/NT/ME/98/95. Злонамереният код се разпространява по e-mail и изпраща ZIP файл с размер 6 Kb, съдържащ EXE файл и HTML файл със същото име. Ако потребителя активира HTML файла, то EXE файла се самокопира в компютъра и създава следните registry ключове: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun win_upd2.exe = %systemdir%WINdirect.exe HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun win_upd2.exe = %systemdir%WINdirect.exe След това вирусът се опитва да изтегли фалшив JPG файл от определени web страници, които реално е EXE файл с инфектиращия код. Също така Bagle.AM използва за разпространение и peer-to-peer (P2P) файл споделени програми. Лесно се разпознава присъствието му, тъй като достига системите в e-mail със следните характеристики: Subject: празен Message: new price Attachments: може да бъде различен със случайно генерирано име и ZIP разширение. Прикрепеният файл съдържа HTML файл и скрит EXE файл. Червеят прекратява следните процеси, ако са активни в паметта: ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVPUPD.EXE, AVWUPD32.EXE, AVXQUAR.EXE, CFIAUDIT.EXE, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, MCUPDATE.EXE, NUPGRADE.EXE, OUTPOST.EXE, sys_xp.exe, sysxp.exe, UPDATE.EXE и winxp.exe. Някои от тях са свързани с други вируси. Поради това, ако компютърът е бил заразен с някой от вариантите на Netsky, то Bagle.AM предотвратява активирането им при всяко стартиране на Windows. Скритият EXE файл в прикрепения ZIP към съобщението създава следните файлове в системната директория на Windows: WINDIRECT.EXE. – копие на изтегления от Интернет файл. _DLL.EXE. - DLL (Dynamic Link Library), който прекратява процеси и изтегля файлове. EXE файлът, изтеглян от определени web сайтове създава файлове: WINDLL.EXE, WINDLL.EXEOPEN и WINDLL.EXEOPENOPEN в системната директория на Windows. Те са копия на злонамерения код. Скритият EXE файл създава следните входове в Windows Registry: • HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run win_upd2.exe = %sysdir% WINdirect.exe където %sysdir% е системната директория на Windows. Ако не успее, то се опитва да създаде друг вход: • HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run win_upd2.exe = %sysdir% WINdirect.exe По този начин си осигурява активиране при всяко стартиране на Windows. Също така изтегляният от Интернет EXE файл създава в Windows Registry: • HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Ru1n erthgdr = %sysdir% windll.exe • HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Ru1n erthgdr = %sysdir% windll.exe • HKEY_LOCAL_MACHINE SOFTWARE Microsoft DownloadManager Bagle.AM изтрива от: • HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run • HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run в Windows Registry всички входове със следните имена: 9XHtProtect Antivirus EasyAV FirewallSvr HtProtect ICQ Net ICQNet Jammer2nd KasperskyAVEng MsInfo My AV NetDy Norton Antivirus AV PandaAVEngine service SkynetsRevenge Special Firewall Service SysMonXP Tiny AV Zone Labs Client Ex Те са свързани с някои варианти на червея Netsky. Вирусът се разпространява посредством e-mail и peer-to-peer (P2P) файл споделени програми. Той пристига в съобщение със следните характеристики: Sender: използва e-mail адреси от компютъра с цел да подмами потребителите да се доверят и да отворят прикрепения файл. Subject: празен. Message: new price Attachments: един от следните: 08_PRICE.ZIP NEW__PRICE.ZIP NEW_PRICE.ZIP NEWPRICE.ZIP PRICE.ZIP PRICE_08.ZIP PRICE_NEW.ZIP PRICE2.ZIP Той съдържа HTML файл и скрит EXE файл. При декомпресиране на прикрепения файл се стартира HTML файла и изпълнимия файл заразява системата. Bagle.AM търси e-mail адреси във файлове със следните разширения: ADB, ASP, CFG, CGI, DBX, DHTM, EML, HTM, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, SHT, SHTM, STM, TBB, TXT, UIN, WAB, WSH, XLS и XML. Вирусът използва собствена SMTP машина за саморазпространение към всички адреси с изключение на съдържащите следните текстови стрингове: @avp., @foo, @iana, @messagelab, @microsoft, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, news, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, update, winrar и winzip. Червеят си създава копие в споделените директории на програми: KaZaA, KaZaA Lite, eDonkey2000, Gnucleus, Limewire, Morpheus, Grokster и други. ТЕ имат следните изкушаващи имена: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Kaspersky Antivirus 5.0 KAV 5.0 Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe За да сте абсолютно сигурни, че Bagle.AM не е достигнал до Вашия компютър: Проверете дали не сте получили e-mail с описаните по-горе характеристики. Ако сте регистриран потребител на Panda Software, първо обновете антивирусните си дефиниции на адрес: http://www.pandasoftware.com и извършете пълно сканиране на Вашия компютър. Ако не сте регистриран потребител на Panda Software, Вие може да използвате безплатния on-line скенер: Panda ActiveScan, който ще намерите на: http://www.computel.bg и http://www.antivirus.bg Как да премахнете Bagle.AM? Преди всичко, ако вече сте получили e-mail с гореописаните характеристики, не активирайте прикрепения файл. Изтрийте съобщението и се уверете, че сте го премахнали и от папката Deleted Items. Ако Panda Antivirus или Panda ActiveScan открие червея при сканиране, автоматично ще Ви предостави възможност за неговото изтриване. Направете го като стриктно следвате указанията. Безплатният антивирусен инструмент Panda QuickRemover автоматично възстановява нанесените от Bagle.A щети във Вашите системи, който можете да изтеглите от някой от двата web сайта: http://www.computel.bg и http://www.antivirus.bg. След това рестартирайте компютъра. Как да защитите Вашите системи от всички видове злонамерен код? Инсталирайте надеждна антивирусна програма. Сигурно решение са продуктите на Panda Software, които можете от www.computel.bg . Обновявайте ежедневно вирусните дефиниции. Софтуерът на Panda Software има опция за автоматично обновяване без Вие да се грижите за това. Поддържайте антивирусните си решения постоянно активни.
Прочетено: 2689 пъти